Как защитить промышленную Кибербезопасность от вирусов, подобных WannaCry ?

Как защитить промышленную Кибербезопасность от вирусов, подобных WannaCry ?

Как защитить промышленную Кибербезопасность от вирусов, подобных WannaCry ? 30.05.2017

WannaCry -  самая большая сенсация  в сфере  кибербезопасности    с момента распространения   вируса  stuxnet,  вредоносная программа-вымогатель  класса Ransomware,  шифрующая  данные компьютеров под управлением ОС Windows. 12 мая 2017 WannaCry заблокировал доступ к сетевым и локальным ресурсам используя уязвимость в протоколе SMB (Server Message Block) года  

WannaCry -  самая большая сенсация  в сфере  кибербезопасности    с момента распространения   вируса  stuxnet,  вредоносная программа-вымогатель  класса Ransomware,  шифрующая  данные компьютеров под управлением ОС Windows. 12 мая 2017 WannaCry заблокировал доступ к сетевым и локальным ресурсам используя уязвимость в протоколе SMB (Server Message Block) года  

Британскому  интернет-блогеру  MalwareTech  случайно удалось замедлить распространение WannaCry, используя деактиватор в  зарегистрированном веб-домене, взятом из кода программы-шифровальщика.  Несмотря на то, что   блокиратор  может перехватывать интернет-трафик, генерируемый  программой-шифровальщиком, он не останавливает  самораспространение вредоносного кода по локальной сети.

Специалисты компании  Claroty и PAS, специализирующихся на кибербезопасности в промышленности,  предупреждают: несмотря на то, что  целью разработчиков  WannaCry  было не промышленное производство,  вирус, попавший в производственную сеть,  может остановить весь  технологический процесс.  Тот факт, что технологические сети   АСУ ТП отделены от публичного Интернета,  не исключает попадания  вируса в локальную четь через использование OC Windows и  не сможет остановить его распространение в закрытой сети.  Как это не парадоксально, но   практика изоляции индустриальных сетей увеличивает риск распространение вредоносных программ посредством локальных сетей.

Пока вирус-шифровальщик WannaCry, вторгшийся в  в Британскую Национальную службу здравоохранения, пытались нейтрализовать,он успел заразить  более 230 000 единиц  компьютеров в 150 странах мира. Среди пострадавших  такие производственные  гиганты, как  Nissan, PetroChina и  Renault.

Нижний и средний уровни АСУ ТП традиционно защищены  применением  промышленных протоколов. Риск заражения серьезно увеличивается на  верхних  уровнях, работающих под управлением серверных MS  Windows, баз данных MS-SQL и десктоповых ОС Windows.  Эти части систем контроля и  управления включают HMI, конструкторские рабочие станции, массивы исторических данных, сервера, статистический контроль (SPC)  и могут подвергаться угрозам с разным уровнем воздействия на технологические  процессы, которыми они управляют.

  Таким образом:

·         Промышленные сети между IT-системами и технологическими сетями  зачастую не сегментированы, поэтому  заражение первых  может легко распространиться на вторые.

·         Протокол Microsoft Server Message Block  встречается  внутри работающих под управлением  Windows  HMI-системах  АСУ ТП, конструкторских рабочих станциях, массивах  исторических данных, в распределенных системах управления и много где еще. WannaCry-шифровальщики используют эти уязвимости.

·         Многие компьютеры, работающие под Windows в системах АСУ ТП, не обновляются регулярно.  

Независимо от того, существует ли в реальности новая версия программы-шифровальщика WannaCry без деактиватора, эксперты в скором времени ожидают прихода его клонов:  “Создание подобной разновидности компьютерных червей с открытым   исходным кодом – тривиальная задача,  и прошедший через многократные изменения и циклы инфицирования компьютерный червь  conficker  служит хорошим напоминанием об этой возможности».

Системы сбора данных и диспетчерского управления  (SCADA) и системы управления производством (MES)  являются наиболее уязвимыми из-за близости к офисным IT-системам и открытому доступу в Интернет. У обычной  СКАДА или MES-системы  часто не хватает возможностей для активного мониторинга промышленных сетей  для выявления аномальной активности и идентифицировать кибер-угрозы в реальном времени практически  невозможно.  Насколько SCADA и MES – системы становятся  более продвинутыми и облачными, настолько они становятся более уязвимыми для инновационной  кибератаки.  Ниличие программной поддержи и обновлений не гарантирует своевременных действий оператора. Это означает, что с развитием и внедрением таких явлений, как облачные SCADA-системы и распределенные  MES-системы уже невозможно далее полагать, что промышленные сети могут оставаться обособленными и изолированным. SCADA и MES- системы берут на себя первый удар при  атаке на производственный процесс, и, следовательно, должны быть объектом пристального внимания в  стратегии промышленной кибербезопасности.

Другие новости